. Папка Startup Любое помещенное в нее приложение будет выполнятся автоматически как только произойдет полная загрузка Windows.2. Файл win. ini Для запуска используется конструкции типа load=Trojan. exe или run=Trojan. exe3. Файл system. ini Конструкция shell=explorer. exe Trojan. exe выполнит Trojan. exe каждый раз, как только запуститься explorer. exe.4. Файл wininit. ini Этот файл используется в основном программами установки, для выполнения некоторого кода при установке приложений. Обычно удаляется. Но может использоваться троянами для автоматического запуска.5. Файл winstart. bat Обычный bat файл, используемый windows для запуска приложений. Настраивается пользователем. Трояны используют строку для запуска @Trojan. exe, что бы скрыть свой запуск от глаз пользователя.6. Файл config. sys7. Explorer Startup Данный метод используется Windows 95, 98, ME для запуска explorer. И если будет существовать файл C: \Explorer. exe, то он выполнится вместо обычного C: \Windows\Explorer. exe.8. Ключи автозапуска Windows, используемые для запуска различных приложений и сервисов. Вот, к примеру, некоторые из них:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx9. Registry Shell Open HKEY_CLASSES_ROOT\exefile\shell\open\command HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\commandПо умолчанию значение данных ключей”%1?%*. Туда можно поместить имя любого выполняемого файла для запуска его при открытии бинарным файлом. К примеру, вот так: trojan. exe “%1?%*.10. Метод запуска приложений при обнаружении ICQ соединения с Интернет Эти ключи включают в себя все файлы, которые будут выполнены при обнаружении ICQ соединения с Интернетом. Это удобно для запуска некоторых приложений. Но и злоумышленники могут им воспользоваться. HKEY_CURRENT_USER\SOFTWARE\Mirabilis\ICQ\Agent\Apps HKEY_LOCAL_MACHINE\SOFTWARE\Mirabilis\ICQ\Agent\Apps11. Компоненты ActiveX. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components Установленные в системе компоненты ActiveX.Троян, маскируясь под компонент, добивается своего запуска при каждой инициализации Windows. Все эти методы в принципе уже хорошо изучены и, успешно применяются для борьбы с троянами.2.1.1 Постановка задачи, актуальность проблемы защиты информации от троянских программДля того, чтобы организовать защиту локальной сети, необходимо определить, от чего эту сеть защищать.Рассмотрим наиболее распространённые вредоносные программы.Классические вирусы - разновидность вредоносных программ, отличительной особенностью которых является способность к размножению (саморепликации). В дополнение к этому они могут повреждать или полностью уничтожать данные, подконтрольные пользователю, от имени которого была запущена заражённая программа.Троянская программа - вид программной закладки, реализующая полезную функцию и содержащая дополнительные скрытые функции, которые тайно используют законные полномочия инициирующего процесса в ущерб безопасности (и даже могут привести к краху операционной системы).Сетевой червь - разновидность самовоспроизводящихся компьютерных программ, распространяющихся в локальных и глобальных компьютерных сетях. В отличие от компьютерных вирусов червь является самостоятельной программой, обладающая свойством самостоятельного распространения в автоматизированной системе и заражающая ее элементы, функциональные сегменты либо систему в целом.Хакерские утилиты и прочие вредоносные программы: Constructor - конструкторы вирусов и троянских программ, DoS, DDoS - вредоносная программа, предназначенная для проведения атаки типа "Denial of Service" ("Отказ в обслуживании") на удаленный сервер, Exploit, HackTool - взломщики удаленных компьютеров, FileCryptor, PolyCryptor - скрытие от антивирусных программ, Flooder - "замусоривание" сети, Nuker - фатальные сетевые атаки, PolyEngine - полиморфные генераторы.К троянским программам относят программы, осуществляющие различные несанкционированные пользователем действия: сбор информации и передача ее злоумышленнику, ее разрушение или злонамеренная модификация, нарушение работоспособности компьютера, использование ресурсов компьютера в злоумышленных целях.Отдельные категории троянских программ наносят ущерб удаленным компьютерам и сетям, не нарушая работоспособности зараженного компьютера.Сегодня вряд ли найдется пользователь персонального компьютера, который не слышал бы о существовании троянских программ. Многие относят их к вирусам, но это слишком упрощенный и неточный подход. Главное, что роднит троянцев с вирусами, - то, что и те и другие могут быть отнесены к категории вредоносных программ. Впрочем, вредоносность здесь следует понимать в широком смысле - пользователь может и не ощущать явного вреда от этих программ, но они так или иначе, но отрицательно влияют на работу системы. Такие программы устанавливаются либо под видом полезных продуктов подобно мифологическому троянскому коню, либо вообще незаметно для пользователя.Принципиальное различие троянских программ и вирусов состоит в том, что вирус представляет собой самостоятельно размножающуюся программу, тогда как троянец не имеет возможности самостоятельного распространения. Однако в настоящее время довольно часто встречаются гибриды - вирусы (в основном e-mail и сетевые черви), вместе с которыми распространяются троянские программы.Что будет делать подобная программа, внедрившись в компьютер, известно одному только ее создателю и зависит лишь от его фантазии и от стоящих перед ним целей.Даже если на компьютере не хранятся никакие важные данные и пользователь не применяет популярные службы, требующие ввода паролей, то троянские программы все равно способны доставить неприятности. Речь идет о замедлении работы системы либо вообще о ее крахе, о непроизвольном расходовании Интернет - трафика, причем нередко в очень больших объемах.Авторы троянских программ вносят в свои творения всевозможные алгоритмы, позволяющие обойти антивирусы и межсетевые экраны. Многие брандмауэры хранят в системном реестре или в собственном файле конфигурации записи о том, какая программа может беспрепятственно получать доступ к Интернету. Часто эти записи не подвергаются даже элементарному шифрованию и проверке на наличие в них несанкционированных изменений. Пользуясь этим, троянская программа может внести запись о себе в раздел разрешенных, а затем, незаметно для пользователя, делать все, что пожелает. Аналогично обстоит дело и с некоторыми антивирусами, которые позволяют настраивать запрещенные для сканирования файлы и каталоги - прописавшись туда, троянец не будет обнаружен. К тому же антивирусы обычно хорошо обнаруживают уже известные троянские программы, тогда как написанный для атаки на конкретный компьютер или просто очень новый троянец останется незамеченным.Поэтому одним из наиболее опасных вредоносных программ являются программные закладки, в связи с этим в данной работе подробно рассматриваются способы защиты персональных компьютеров от троянских программ.2.2 Классификация троянских программТроянские программы различаются между собой по тем действиям, которые они производят на зараженном компьютере.Backdoor - троянские утилиты удаленного администрированияТроянские программы этого класса являются утилитами удаленного администрирования компьютеров в сети. По своей функциональности они во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.Единственная особенность этих программ заставляет классифицировать их как вредные троянские программы: отсутствие предупреждения об инсталляции и запуске. При запуске "троянец" устанавливает себя в системе и затем следит за ней, при этом пользователю не выдается никаких сообщений о действиях троянца в системе. Более того, ссылка на "троянца" может отсутствовать в списке активных приложений. В результате "пользователь" этой троянской программы может и не знать о ее присутствии в системе, в то время как его компьютер открыт для удаленного управления.Утилиты скрытого управления позволяют делать с компьютером все, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т.д. В результате эти троянцы могут быть использованы для обнаружения и передачи конфиденциальной информации, для запуска вирусов, уничтожения данных и т.п. - пораженные компьютеры оказываются открытыми для злоумышленных действий хакеров.Таким образом, троянские программы данного типа являются одним из самых опасных видов вредоносного программного обеспечения, поскольку в них заложена возможность самых разнообразных злоумышленных действий, присущих другим видам троянских программ.Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают компьютерные черви. Отличает такие "троянцы" от червей тот факт, что они распространяются по сети не самопроизвольно (как черви), а только по специальной команде "хозяина", управляющего данной копией троянской программы.Trojan-PSW - воровство паролейДанное семейство объединяет троянские программы, "ворующие" различную информацию с зараженного компьютера, обычно - системные пароли (PSW - Password-Stealing-Ware). При запуске PSW-троянцы ищут сиcтемные файлы, хранящие различную конфиденциальную информацию (обычно номера телефонов и пароли доступа к интернету) и отсылают ее по указанному в коде "троянца" электронному адресу или адресам.Существуют PSW-троянцы, которые сообщают и другую информацию о зараженном компьютере, например, информацию о системе (размер памяти и дискового пространства, версия операционной системы), тип используемого почтового клиента, IP-адрес и т.п. Некоторые троянцы данного типа "воруют" регистрационную информацию к различному программному обеспечению, коды доступа к сетевым играм и прочее.Trojan-AOL - семейство троянских программ, "ворующих" коды доступа к сети AOL (America Online). Выделены в особую группу по причине своей многочисленности.Trojan-Clicker - интернет-кликерыСемейство троянских программ, основная функция которых - организация несанкционированных обращений к интернет-ресурсам (обычно к веб-страницам). Достигается это либо посылкой соответствующих команд браузеру, либо заменой системных файлов, в которых указаны "стандартные" адреса интернет-ресурсов (например, файл hosts в MS Windows).У злоумышленника могут быть следующие цели для подобных действий:увеличение посещаемости каких-либо сайтов с целью увеличения показов рекламы;организация DoS-атаки (Denial of Service) на какой-либо сервер;привлечение потенциальных жертв для заражения вирусами или троянскими программами.Trojan-Downloader - доставка прочих вредоносных программТроянские программы этого класса предназначены для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки "троянцев" или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются "троянцем" на автозагрузку в соответствии с возможностями операционной системы. Данные действия при этом происходят без ведома пользователя.Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с "управляющего" интернет-ресурса (обычно с веб-страницы).Trojan-Dropper - инсталляторы прочих вредоносных программТроянские программы этого класса написаны в целях скрытной инсталляции других программ и практически всегда используются для "подсовывания" на компьютер-жертву вирусов или других троянских программ.Данные троянцы обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве или неверной версии операционной системы) сбрасывают на диск в какой-либо каталог (в корень диска C:, во временный каталог, в каталоги Windows) другие файлы и запускают их на выполнение. |
Основной код | | Файл 1 | | Файл 2 | | ... | | |
Обычно структура таких программ следующая: "Основной код" выделяет из своего файла остальные компоненты (файл 1, файл 2,. .), записывает их на диск и открывает их (запускает на выполнение). Обычно один (или более) компонентов являются троянскими программами, и как минимум один компонент является "обманкой": программой-шуткой, игрой, картинкой или чем-то подобным. "Обманка" должна отвлечь внимание пользователя и/или продемонстрировать то, что запускаемый файл действительно делает что-то "полезное", в то время как троянская компонента инсталлируется в систему. В результате использования программ данного класса хакеры достигают двух целей: скрытная инсталляция троянских программ и/или вирусов; защита от антивирусных программ, поскольку не все из них в состоянии проверить все компоненты внутри файлов этого типа. Trojan-Proxy - троянские прокси-сервера Семейство троянских программ, скрытно осуществляющих анонимный доступ к различным интернет-ресурсам. Обычно используются для рассылки спама.
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12
|
